я используюaqbankingдля загрузки моих банковских выписок через HCBI. Обычно aqbanking запрашивает банковские учетные данные во время загрузки, но вы также можете сохранить их в незашифрованном пин-файле и передать путь к пин-файлу aqbanking в командной строке.
Я не хочу хранить пин-файл незашифрованным на моем жестком диске. Я использую полное шифрование диска, но я немного параноидально отношусь к случайной утечке пин-файла в незашифрованной резервной копии.
Моя идея состоит в том, чтобы зашифровать PIN-файл с помощью GnuPG, а затем расшифровать PIN-файл «на лету» с помощью подстановки процессов в bash.
Вместо того, чтобы запустить:
aqbanking-cli -P /path/to/unencrypted-pin-file ...
Я бегаю:
aqbanking-cli -P <(gpg -q --decrypt /path/to/encrypted/pinfile) ...
Это работает, однако меня беспокоят возможные последствия для безопасности.
Я предполагаю, что файл расшифровывается только в памяти, и его содержимое доступно как файл, отображенный в памяти. Незашифрованное содержимое никогда не сохраняется на диске.Это правда?
Я работаю на macOS, но в Linux я подозреваю, что вывод содержимого может быть доступен пользователю root, использующему procфайловую систему.Это правда?
Каковы другие последствия моего подхода для безопасности?
Примечание: изначально я спросилэтот вопрос на Stack Overflowно там его закрыли как не относящийся к теме, предложили разместить его здесь.